esxi

Certificat Let’s Encrpyt sur un hôte ESXi

avril 21, 2018

 

 

L’idée est de supprimer le défaut de certificat pour les hôtes ESXi. La manoeuvre est assez simple.

Let’s Encrypt propose des certificats gratuits, principalement pour les sites web (validation automatique via HTTP), mais permet également des validations DNS si vous n’avez pas la main sur votre serveur HTTP (ce qui est le cas des hôtes ESXi).

Pour la valdiation DNS, vous aurez besoin d’avoir accès à votre console de gestion de votre nom de domaine !

Nous allons utiliser le site https://zerossl.com pour générer un certificat SSL gratuit. Notez que la démarche est possible en utilisant les lignes de commandes pour interagir avec les serveurs de Let’s Envcrypt mais ce serait trop lourd, ici une interface bien facile nous aide.

Dans l’interface de zerossl.com, indiquez votre adresse email et le domaine à protéger (type esxi.domain.com). Laissez les champs Clé Let’s Encrypt et CSR vides.

Choisissez l’option DNS puis cochez les cases d’acceptation

Cliquez sur suivant, refusez la validation www si elle vous est proposée. Le site génère un CSR pour vous.

Cliquez à nouveau sur suivant pour générer votre clé de compte. Cette clé et le CSR vous seront nécessaire par la suite pour mettre à jour votre certificat !

Une fois les 2 éléments générés, cliquez sur télécharger pour en faire une sauvegarde sur votre PC. Le site refuse de poursuivre la création du certificat si vous ne téléchargez pas les informations. Pensez aussi à leur donner des noms compréhensibles…

Cliquez ensuite sur suivant

Le site vous demande de rajouter une entrée DNS type TXT pour vérifier que vous êtes bien le propriétaire du domaine.

Une fois cette information enregistrée dans votre DNS  et je vous conseille de mettre le cache TTL le plus bas possible (5 min ou 300 secondes chez Gandi.net), vérifiez bien que la propagation est effective avant de cliquer sur suivant sinon le site ne pourra pas valider l’appartenance et vous donnera un nouveau code de validation…

Pour vérifier la bonne propagation de ces enregistrements, je vous conseille de les valider via internet :
https://dns.google.com/
https://www.nslookuptool.com/fr/#TXT/_acme-challenge.esxi.domain.com
https://dnschecker.org/#TXT/_acme-challenge.esxi.domain.com

Une fois la propagation viable, vous pouvez validez le contrôle via freeSSL.

Si le contrôle c’est bien passé, vous pouvez télécharger le fichier .crt et le fichier .key pour votre nom de domaine et votre serveur. Gardez les dans un coin et renommez les en rui.crt et rui.key

Sur votre hôte esxi, mettez hors tension toutes les VMs, puis passez l’hôte en mode maintenance via le menu Hôte > Actions > Entrer en mode maintenance.

Une fois en mode maintenance, activez la console SSH (Hôte > Actions > Services > Activer Secure Shell), puis utilisez un logiciel de transfert de fichiers pour copier vos fichiers sur l’hôte via SFTP.

Il faut déposer les fichiers dans /etc/vmware/ssl (pensez à renommer les fichiers rui.crt et rui.key existants)

Utilisez ensuite une console SSH pour vous connecter à l’hôte (putty ou le terminal) puis entrez la commande

services.sh restart

Vous pouvez repasser votre hôte en mode production. Il faut changer d’onglet de votre navigateur pour que le certificat se mette à jour.